1 điểm bởi GN⁺ 2023-10-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trong khi Mỹ chưa có luật bảo vệ quyền riêng tư liên bang toàn diện, dữ liệu cá nhân thu thập từ các ứng dụng điện thoại đang đi qua ngành quảng cáo nhắm mục tiêu rồi chảy vào các công cụ giám sát của chính phủ
  • Chính phủ có thể mua từ data broker để tiếp cận cả dữ liệu người dùng vốn thường cần lệnh tòa hoặc lệnh khám xét, khiến ranh giới giữa giám sát của doanh nghiệp và giám sát của công quyền trở nên mờ nhạt
  • Một cuộc điều tra của Wall Street Journal xác nhận Near Intelligence đã mua dữ liệu của hơn 1 tỷ thiết bị từ các data broker phục vụ quảng cáo, và ký hợp đồng để dữ liệu này được chuyển tới các cơ quan quân sự và tình báo liên bang thông qua nhà thầu chính phủ
  • Dữ liệu vị trí có thể được dùng để theo dõi người tham gia biểu tình, người ghé thăm một số cơ sở nhất định, cũng như liên hệ giữa nhà báo và người tố giác, làm gia tăng rủi ro không chỉ xâm phạm đời tư mà còn trả đũa và nhận diện nhầm
  • Giải pháp là ban hành Fourth Amendment is Not For Sale Act, đạo luật cấm chính phủ mua dữ liệu mà họ không thể có nếu không có lệnh khám xét, cùng một luật bảo vệ quyền riêng tư dữ liệu người tiêu dùng toàn diện

Con đường biến dữ liệu quảng cáo thành giám sát của chính phủ

  • Mỹ không có đạo luật bảo vệ quyền riêng tư liên bang toàn diện, và ngành quảng cáo nhắm mục tiêu vận hành dựa trên dữ liệu cá nhân thu thập từ các ứng dụng điện thoại
  • Cốt lõi khiến ranh giới giữa giám sát của doanh nghiệp và giám sát của chính phủ suy yếu nằm ở cấu trúc mua bán dữ liệu
    • Nếu dữ liệu không được mã hóa hoàn toàn hoặc không được người dùng trực tiếp lưu trữ cục bộ, chính phủ có thể lấy dữ liệu từ các công ty truyền thông và điện toán
    • Theo truyền thống, việc này cần lệnh tòa, nhưng nay ngày càng có nhiều trường hợp chính phủ mua trực tiếp dữ liệu từ các broker đã mua dữ liệu trong ngành công nghệ quảng cáo

Trường hợp Near Intelligence

  • Cuộc điều tra của Wall Street Journal đã phơi bày cấu trúc giao dịch dữ liệu của một công ty tên Near Intelligence
  • Near Intelligence mua dữ liệu cá nhân và thiết bị, loại thường được bán cho nhà quảng cáo, từ các broker
    • Công ty cho biết họ đã mua dữ liệu về hơn 1 tỷ thiết bị
    • Công ty ký hợp đồng với một nhà thầu chính phủ, và dữ liệu này được chuyển tới các cơ quan quân sự và tình báo liên bang
  • Bằng cách này, chính phủ có thể mua quyền tiếp cận cả thông tin vị trí, loại dữ liệu mà thông thường họ phải đưa ra căn cứ hợp lý đáng kể và xin lệnh khám xét
  • Nhiều nhà phát triển ứng dụng smartphone muốn bán dữ liệu người dùng cho bên trả giá cao nhất để kiếm tiền, và người mua có thể bao gồm cả chính phủ

Tác hại mà theo dõi vị trí không cần lệnh khám xét có thể gây ra

  • Cảnh sát có thể dùng các công cụ giám sát này để xác định thiết bị của những người tham dự biểu tình, rồi lần theo họ về đến nhà nơi họ ngủ, biến họ thành mục tiêu của giám sát bổ sung, quấy rối hoặc trả đũa
  • Cũng có thể theo dõi chỉ những thiết bị từng ở trong một địa điểm cụ thể
    • Văn phòng luật sư di trú
    • Phòng khám sức khỏe sinh sản
    • Cơ sở chăm sóc sức khỏe tâm thần
  • Các cuộc gặp bí mật giữa nhà báo và nguồn tin là người tố giác cũng có thể bị giám sát bằng những công cụ như vậy
  • Đã có những trường hợp người trong cơ quan thực thi pháp luật lạm dụng công nghệ giám sát vì động cơ ác ý cá nhân

Khu vực bị cảnh sát kiểm soát quá mức và rủi ro nhận diện nhầm

  • Kiểu giám sát này khiến những người sống và làm việc ở các khu vực có nhiều hoạt động trị an dễ trở thành đối tượng bị cảnh sát nghi ngờ hơn
  • Chỉ vì ở cạnh một tiệm pizza vừa xảy ra vụ cướp, hoặc nghỉ uống cà phê gần một hình graffiti, họ cũng có thể bị phân loại là thiết bị ở gần hiện trường tội phạm và trở thành mục tiêu giám sát bổ sung

Fog Data Science và yêu cầu lập pháp

  • Trường hợp Near Intelligence xuất hiện một năm sau khi EFF điều tra Fog Data Science
    • Fog Data Science là công ty đã cung cấp cho các cơ quan thực thi pháp luật cấp bang và địa phương quyền truy cập thông tin vị trí chính xác và liên tục của hàng trăm triệu người Mỹ
    • Dữ liệu này được thu thập từ các ứng dụng smartphone rồi được tổng hợp bởi các data broker thiếu minh bạch
    • Việc truy cập rất dễ dàng và thường diễn ra không cần lệnh khám xét
  • Điểm cốt lõi mà Quốc hội phải bịt lại là lỗ hổng data broker
  • Quốc hội và chính quyền các bang cũng cần ban hành luật bảo vệ quyền riêng tư dữ liệu người tiêu dùng toàn diện
    • Nếu doanh nghiệp thu thập ít dữ liệu người dùng hơn, lượng dữ liệu mà chính phủ có thể mua từ các doanh nghiệp đó cũng sẽ giảm
  • Cần có áp lực thể chế để ngăn chính phủ lách qua yêu cầu lệnh khám xét bằng cách mua thông tin vốn dĩ cần lệnh khám xét

1 bình luận

 
GN⁺ 2023-10-23
Các ý kiến trên Hacker News
  • Tôi đồng ý với vấn đề mà bài viết nêu ra, nhưng có lẽ cũng cần có áp lực buộc các nhà mạng di động không được bán dữ liệu vị trí
    Việc chỉ ra các nhà phát triển ứng dụng smartphone là có giá trị, nhưng ISP có thể biết vị trí ngay cả khi không có smartphone, và trên thực tế về mặt pháp lý họ cũng phải có khả năng báo cáo việc này (https://en.wikipedia.org/wiki/Communications_Assistance_for_... v.v.)
    Tôi tò mò liệu EFF có cho rằng các nỗ lực ngăn chặn trường hợp sau bằng lập pháp đã vô nghĩa hay không

    • Hoàn toàn không. EFF cũng đang làm nhiều việc tốt theo hướng đó
      https://www.eff.org/issues/cell-tracking
    • Đúng vậy. Cần có các quy định ngăn chặn ngay từ việc thu thập dữ liệu đó
      Cũng cần ngăn việc khóa các thiết bị mà mọi người “sở hữu” để họ không thể dùng biện pháp đối phó
      Việc dữ liệu này được khu vực tư nhân sử dụng cũng đáng lo ngại ngang, thậm chí có thể hơn, việc chính phủ sử dụng. Dù sao nhà nước trong nhiều trường hợp vẫn phải chịu trách nhiệm dân chủ
    • Tôi từng xây một trong những hệ thống tổng hợp vị trí thời kỳ đầu. Có thể là hệ thống đầu tiên, nhưng khó mà chắc chắn
      Khi đó công ty của tôi có quan hệ chặt chẽ với các nhà mạng di động Mỹ, và chủ yếu làm các ứng dụng white-label dưới danh nghĩa an toàn gia đình. Tuy nhiên nhiều người dùng lại quan tâm đến vị trí của vợ/chồng hoặc người yêu hơn là của con cái
      Cùng khoảng thời gian đó OAuth 1a xuất hiện, và tôi nghĩ sẽ hay nếu tận dụng mối quan hệ này để cung cấp một nền tảng bán vị trí cho các nhà phát triển ứng dụng trên cơ sở có sự đồng ý. Tôi cũng định đưa vào nhiều tính năng bảo vệ quyền riêng tư
      Cuối cùng chỉ có một nhà phát triển ứng dụng đạt được chút thành công, còn các công ty tổng hợp ít quan tâm đến quyền riêng tư hơn đã bắt tay với thế hệ nhà phát triển ứng dụng tiếp theo, khiến tương lai của sản phẩm biến mất. Kỷ niệm thì vẫn thú vị
    • Câu nói rằng sau khi CALEA được thông qua, nó đã được mở rộng rất nhiều sang cả toàn bộ lưu lượng VoIP và Internet băng rộng nghe như thể cơ quan thực thi pháp luật có thể tự do nghe lén bất kỳ cuộc gọi VoIP nào. Tôi tò mò thực tế việc đó khả thi ra sao
      Theo tôi biết, cuộc gọi VoIP thường dùng SIP để gọi phía bên kia (được bảo mật một phần), rồi dùng ICE/STUN/TURN để hai bên tìm đường đi trực tiếp nhất, sau đó trao đổi luồng âm thanh thực tế
      Có phải client đơn giản là không mã hóa luồng âm thanh không? Hay nhà mạng chặn mọi thứ sau hop SIP đầu tiên kiểu tấn công trung gian? Điều đó có vẻ không khớp với kiểu giám sát chỉ đọc “chuyển bản sao dữ liệu mạng qua tap phần cứng hoặc cổng mirror của switch/router đến probe IP chuyên dụng”
    • Cũng cần giáo dục tốt hơn về rủi ro khi mang theo bộ thu GPS luôn bật và liên tục gửi vị trí cho bên thứ ba
      Điều này có thể nghe như đổ lỗi cho nạn nhân. Dù vậy vẫn có lựa chọn tắt điện thoại
  • Khái niệm AdInt cũng đáng tham khảo. Nó được nhắc đến trong https://www.theregister.com/2023/09/16/insanet_spyware/, và cách hoạt động được trình bày chi tiết hơn trong cuộc điều tra gốc của báo Israel Haaretz https://archive.ph/7dbaV
    Trước đây đã có bài đăng, nhưng chỉ có 2 bình luận: https://news.ycombinator.com/item?id=37542097

  • Tôi có cảm giác chuyện này sẽ kết thúc tệ hơn nhiều so với mọi người nghĩ
    Doanh nghiệp cấu kết với chính phủ chẳng phải là định nghĩa của chủ nghĩa phát xít sao? Nếu vậy, chẳng phải đó chính là điều chúng ta đang thấy hiện nay sao

    • Gọi đó là phát xít theo nghĩa điển hình thì khó, nhưng trực giác rằng tất cả chuyện này sẽ kết thúc tệ có lẽ rất có khả năng đúng
      Sau các tiết lộ của Snowden, chúng ta biết rằng nhiều quốc gia đã tích trữ lỗ hổng và xây dựng khoảng cách quyền lực số có thể áp dụng cả cho những mục đích nhỏ nhặt
      NSO Group đã cho thấy gần như có thể âm thầm xâm nhập bất kỳ điện thoại nào mà không cần phần mềm bổ sung, và những việc gần đây như các cuộc điều tra giết người Canada/India cũng gợi ý rằng các kênh từng được xem là an toàn rốt cuộc vẫn có thể bị chặn bắt
      Thật khó tưởng tượng ngày nay China hay NSA thực sự có thể làm đến mức nào. Chúng ta vẫn tránh được đại thảm họa, nhưng cảm giác ranh giới cho giám sát và kiểm soát Internet đã được vạch ra ngày càng rõ. Dù vậy, nếu ai có thể bảo vệ mạnh mẽ một cách diễn giải lạc quan hơn thì tôi muốn nghe
    • Tôi mới nghe lần đầu định nghĩa “chính phủ và doanh nghiệp cấu kết thì là phát xít”
      Thông thường, chủ nghĩa phát xít được định nghĩa bằng chủ nghĩa dân tộc chuyên chế, một lãnh đạo độc tài tập quyền, chủ nghĩa quân phiệt, đàn áp cưỡng bức phe đối lập, đặt lợi ích cá nhân lệ thuộc vào lợi ích của quốc gia hoặc chủng tộc, và tuyên truyền nhằm duy trì niềm tin rằng tồn tại một thứ bậc xã hội tự nhiên
    • Nếu là trước đây tôi sẽ đồng ý rằng kiểu lạm dụng này sẽ kết thúc tệ, nhưng sau các tiết lộ của Snowden và Wikileaks, chúng ta đã thấy các thể chế của mình có thể hư vô và xấu xa đến mức nào mà vẫn chẳng có thay đổi đáng kể
      Tác động chính của các tiết lộ đó là sự trỗi dậy của chủ nghĩa dân túy, nhưng ngoài việc mất Nhà Trắng trong một nhiệm kỳ thì không có ảnh hưởng bền vững nào, và phản ứng dân túy đó trên thực tế cũng đã bị dập tắt
      Nếu muốn tạo ra thay đổi, có lẽ phải can thiệp sớm hơn, khi chỉ những nhóm rìa bị coi là điên rồ còn đang nói về nó, chẳng hạn 25 năm trước hoặc khoảng 25 năm sau, để có thể bẻ dòng chảy tiếp theo sang hướng khác
    • Giám sát web ngày nay rồi sẽ trông còn khiêm tốn so với những gì sắp tới
      Những thứ như Quest 3 và Apple Vision mới chỉ là khởi đầu, và khi mọi người đều đeo thiết bị AR đi lại, sẽ không còn cách nào thoát khỏi point cloud
      Các công ty này sẽ có đồ thị thời gian thực về việc mọi người đang ở đâu và làm gì tại nơi công cộng, bao gồm cả những người chưa từng dùng bất kỳ dịch vụ nào của họ. Thật đáng sợ
    • Thực ra gần như ngược lại. Nếu là một chính phủ phát xít, tôi cho rằng nhánh hành pháp sẽ gần như kiểm soát thị trường và doanh nghiệp
      Nhưng xu hướng này có vẻ gần với việc các doanh nghiệp gần như kiểm soát và thay thế chính phủ. Nó giống như ý tưởng méo mó về chủ nghĩa tư bản các bên liên quan đi đến kết luận tự nhiên của nó
  • Phần cốt lõi là: “Nếu dữ liệu không được mã hóa hoàn toàn hoặc không được lưu trực tiếp cục bộ, chính phủ có thể lấy dữ liệu đó từ các công ty viễn thông hoặc điện toán. Theo truyền thống thì cần lệnh tòa, nhưng ngày càng nhiều chính phủ chỉ đơn giản mua từ các nhà môi giới dữ liệu đã mua trong ngành công nghệ quảng cáo”
    Tôi cho rằng ngành công nghệ quảng cáo cũng bao gồm Meta và Google. Nhưng một số người nổi giận nói rằng “Meta thực ra không bán dữ liệu của bạn” hoặc “Google thực ra không bán dữ liệu của bạn”
    Nếu các công ty này tham gia vào hệ sinh thái này và mua từ các nhà môi giới dữ liệu, thì họ cũng tệ chẳng kém gì các nhà môi giới dữ liệu. Meta và Google không thể vừa kiếm phần lớn tiền từ các mối quan hệ kiểu này, vừa tạo điều kiện cho giám sát, lại vừa giả vờ như những vị thánh không đáng bị chỉ trích

    • Điều còn khó chịu hơn là chính phủ trực tiếp dùng các dịch vụ này trên website của mình
      Ví dụ, cả dmv.ca.gov và irs.gov đều dùng Google trên toàn bộ site
      Khi chính phủ coi Google là giải pháp mỗi lúc cần những thứ như xác minh danh tính, CAPTCHA, thì cấu trúc sẽ sụp đổ
  • Tôi từng nghe câu “một nền dân chủ có công nghệ tiên tiến thì kém tự do hơn một chế độ độc tài có công nghệ thô sơ”

    • Người nói câu đó thật ngớ ngẩn. Nên đọc về cuộc sống ở Ai Cập cổ đại, Tây Ban Nha thời Tòa án Dị giáo, Nazi Germany, và GDR
      Những nơi này lạc hậu hơn về mặt công nghệ so với Switzerland, New Zealand, Denmark, Estonia, Ireland ngày nay, nhưng không tự do hơn [1]
      [1] https://worldpopulationreview.com/country-rankings/freedom-i...
  • Tôi không nghĩ dữ liệu cá nhân của mình là thứ FTC nên “bảo vệ” hay “quản lý”
    Đạo luật duy nhất có hiệu quả sẽ là cấm hoàn toàn mọi điểm bán dữ liệu người dùng cá nhân nếu không có sự đồng ý rõ ràng của người dùng (ví dụ: xác nhận cookie), nhưng chuyện đó sẽ không bao giờ xảy ra
    Và nếu việc này trắng trợn đến vậy, tôi cũng tự hỏi vì sao vẫn chưa có vụ kiện nào. Chính phủ Mỹ vốn đã bị ràng buộc bởi Hiến pháp và Tu chính án thứ Tư. Tôi không nghĩ chúng ta cần một đạo luật vụng về do những người còn chẳng biết mình đang làm gì tạo ra